El Instituto Nacional de Ciberseguridad (Incibe), a través de su Oficina de Seguridad del Internauta, ha elevado este martes una alerta tras detectar “varias campañas, a través de correos electrónicos falsos, que intentan robar datos personales de los usuarios haciéndose pasar por la Agencia Tributaria”. El organismo oficial ha calificado alerta como de importancia “alta” y recomienda a los usuarios que hayan suministrado información a esta página fraudulenta “contactar inmediatamente con su banco” para intentar evitar que se realicen cargos adicionales a su cuenta.
Los ciberdelincuentes que suplantan a la Agencia Tributaria se ponen en contacto con los usuarios a través de la dirección de correo noreply@agenciatributaria.xyz y se identifican con el asunto “Agencia Tributaria - Recordatorio de pago”. “En el cuerpo del mensaje se facilita una imagen que redirige a una web falsa, desde dónde se facilita la descarga de un documento (”factura.pdf“) en el que se indica al usuario que debe pagar el importe de una deuda”, detalla el Incibe.
Esa falsa factura tiene una apariencia muy realista y trata de engañar al usuario para que realice un pago en una cuenta bancaria controlada por los ciberdelincuentes. No obstante, el Incibe recuerda que hay varias campañas de suplantación de la Agencia Tributaria en marcha y la estrategia de ataque en cada una de ellas podría cambiar. De hecho, como informa la propia Agencia, el más habitual es intentar engañar al usuario por el lado opuesto: haciendo referencia a un reembolso de impuestos inexistente.
En una comunicación a raíz de esta nueva campaña de suplantación, el organismo tributario ha recalcado que “nunca solicita por correo electrónico información confidencial, económica o personal, números de cuenta ni números de tarjeta de los contribuyentes”, “nunca realiza devoluciones a tarjetas de crédito o débito” y “nunca cobra importe alguno por los servicios que presta. El usuario solo asumirá el coste compartido de las llamadas a teléfonos 901”.
Recomendaciones
Para evitar este tipo de engaños, recuerda el Incibe, “la mejor recomendación es prestar atención a la URL a la que estamos accediendo y comprobar que sea realmente la del supuesto servicio. En caso de duda, consultar la veracidad del correo con la entidad pertinente y nunca facilitar datos personales o bancarios”. En el caso de la Agencia Tributaria, esta es titular del sitio web (“www.agenciatributaria.es”) y la Sede electrónica (“www.agenciatributaria.gob.es”, “www1.agenciatributaria.gob.es”, “www2.agenciatributaria.gob.es”, “www3.agenciatributaria.gob.es”, “www6.agenciatributaria.gob.es”, “www8.ia.agenciatributaria.gob.es”, “www9.agenciatributaria.gob.es”, “www10.agenciatributaria.gob.es”, “www12.agenciatributaria.gob.es”).
En el caso de que se hayan facilitado datos personales a través de una campaña de suplantación, aunque no remitan a información bancaria, el Incibe recomienda vigilar periódicamente qué información circula sobre uno mismo en la red. Si se detectan datos privados que se están usando sin consentimiento, se puede “ejercer los derechos de acceso, rectificación, cancelación u oposición (ARCO) sobre datos personales”, que permiten retirar esa información. La Agencia Española de Protección de Datos proporciona las pautas para ello.
Tanto el Incibe como la Agencia Tributaria recuerdan que en caso de duda respecto a la autoría de una comunicación oficial, la recomendación es contactar con con dicho organismo por el cauce institucional (no por los métodos de contacto que se proporcionan en la comunicación sospechosa) y corroborar su autenticidad.